Якщо Ви використовуєте iPhone або MacBook, то для Вас є тривожна новина. Виявляється, що лише через відвідування веб-сайтів – не лише шкідливих, але й законних сайтів, а також через фонове завантаження шкідливої реклами – експлойт у браузері Safari може дозволити віддаленим зловмисникам таємно отримувати доступ до камери, мікрофона чи місцезнаходження вашого пристрою, а в деяких випадках і збережених паролів. Про це пише The Hacker News.
Нещодавно Apple виплатила винагороду в розмірі 75 000 доларів “білому” хакеру Райану Пікрену, який продемонстрував на практиці цей експлойт і допоміг компанії виправити сім нових уразливостей, перш ніж будь-який реальний зловмисник міг ними скористатися. Виправлення були включені у серію оновлень, що охоплюють Safari до версій 13.0.5, (випущена 28 січня 2020 року) та Safari 13.1 ( 24 березня 2020 року).
“Якщо шкідливий веб-сайт хотів отримати доступ до камери, все, що він повинен був зробити, це маскуватися під надійний веб-сайт для відеоконференцій, такий як Skype або Zoom”, – сказав Пікрен.
Вищезгадані три недоліки Safari, якщо вони проявлялися одночасно, могли дозволити зловмисним веб-сайтам видавати себе за законний сайт, якому жертва довіряє, та отримати доступ до камери або мікрофона, зловживаючи дозволами, які в іншому випадку явно надаються жертвою лише довіреному домену.
Веб-переглядач Safari надає доступ сайтам до певних дозволів на доступ до приватних даних та засобів вводу – таких, як камера, мікрофон, місцезнаходження та багато іншого. Це полегшує доступ до камери для окремих веб-сайтів, скажімо, через Skype, не вимагаючи дозволу користувача кожного разу, коли програма запускається.
Але є винятки з цього правила на iOS. Хоча сторонні програми повинні вимагати явної згоди користувача на доступ до камери, Safari може отримати доступ до камери чи фотогалереї без будь-яких підказок дозволу. Зокрема, цей доступ стає можливим завдяки використанню ланцюга експлуатації, який поєднує в собі декілька недоліків у тому, як браузер читає схеми URL-адрес та обробляє налаштування безпеки на веб-сайті. Цей метод працює лише з веб-сайтами, які зараз відкриті у браузері.
“Більш важливим спостереженням було те, що схема URL-адреси повністю ігнорується”, – зазначив Пікрен. “Це проблематично, оскільки деякі схеми взагалі не містять значущого імені хоста, такого як файл :, javascript :, або data:.”
Інакше кажучи, Safari не зміг перевірити, чи дотримуються веб-сайти політики однакового походження, тим самим надаючи доступ до іншого веб-сайту, який не повинен був отримувати дозволи в першу чергу. Як результат, веб-сайт на зразок “https://example.com” та його шкідливий аналог “fake: //example.com” можуть мати однакові дозволи.
Таким чином, скориставшись цим неправильним читанням імені хоста Safari, можна було використовувати URL “файл:” (наприклад, файл: ///path/to/file/index.html), щоб примусити браузер змінювати доменне ім’я за допомогою JavaScript.
“Safari вважає, що ми знаходимось на skype.com. Я можу завантажити деякий шкідливий код на JavaScript. Камера, мікрофон та спільний доступ до екрана – все це буде перехоплене мною, коли ви відкриєте мій локальний файл HTML”, – сказав Пікрен.
Дослідження показало, що навіть паролі у форматі простого тексту можуть бути викрадені таким чином, оскільки Safari використовує той самий підхід для виявлення веб-сайтів, на яких потрібно застосувати автоматичне заповнення паролів. Крім того, запобігання автоматичному завантаженню можна обійти, попередньо відкривши надійний сайт як спливаюче вікно, а згодом використовуючи його для завантаження шкідливого файлу.
Так само URI “blob:” (наприклад, blob: //skype.com) можна використовувати для запуску довільного коду JavaScript, використовуючи його для прямого доступу до веб-камери жертви без дозволу.
Загалом, дослідження виявило сім різних вразливостей “нульових днів” у Safari:
- CVE-2020-3852: схема URL може бути неправильно ігнорована під час визначення мультимедійного дозволу для веб-сайту;
- CVE-2020-3864: контекст об’єкта DOM, можливо, не мав унікального джерела безпеки;
- CVE-2020-3865: контекст об’єкта DOM верхнього рівня, можливо, неправильно вважався безпечним;
- CVE-2020-3885: URL-адреса файлу може бути неправильно оброблена;
- CVE-2020-3887: походження завантаження може бути пов’язано неправильно;
- CVE-2020-9784: шкідливий фрейм може використовувати параметри завантаження іншого веб-сайту;
- CVE-2020-9787: схема URL, що містить тире (-) та період (.), що примикають один до одного, неправильно ігнорується під час визначення мультимедійного дозволу для веб-сайту.
Якщо ви користуєтесь Safari, рекомендується постійно оновлювати веб-переглядач і гарантувати, що веб-сайтам надається доступ лише до тих параметрів, які необхідні для їх роботи.
Також радимо звернути увагу на поради, про які писав Cybercalm, а саме:
ШІСТЬ ПОГАНИХ ЗВИЧОК, ЯКІ МОЖУТЬ “ВБИТИ” ВАШ КОМП’ЮТЕР
ЖИТТЯ НА КАРАНТИНІ: ЯКІ ДОДАТКИ ОБРАТИ ДЛЯ ВІДЕОКОНФЕРЕНЦІЇ?
ЯК ЗРОБИТИ ВІДДАЛЕНИЙ РЕЖИМ РОБОТИ ПІД ЧАС КАРАНТИНУ БЕЗПЕЧНИМ? ПОРАДИ
ФІШИНГ ТА СПАМ: ЯК РОЗПІЗНАТИ ІНТЕРНЕТ-ШАХРАЙСТВА, ПОВ’ЯЗАНІ З COVID-19?
АПГРЕЙД ВАШОГО КОМП’ЮТЕРА: 5 КОМПЛЕКТУЮЧИХ, ЯКІ ВАРТО ОНОВИТИ В ПЕРШУ ЧЕРГУ
Нагадаємо, Microsoft випустила позапланове оновлення для Windows 10 з метою виправити баг, що викликає проблеми з підключенням до інтернету через VPN. Однак, як виявилося, виправлення також викликає проблеми з підключенням до Інтернету, але тепер вже через Wi-Fi.
Також сьогодні більшість працівників компаній, учні, студенти та викладачі знаходяться на вимушеній самоізоляції через загрозу інфікування COVID-19. Саме тому популярними стали додатки, які дозволяють спілкуватися за допомогою відео в режимі реального часу.
Зверніть увагу, що під час пандемії коронавірусу кіберзлочинці активізували та оновили різноманітні схеми шахрайств. Найчастіше спекулюють на товарах індивідуального захисту, розповсюджують фейки, здійснють СМС-розсилку та телефонують, щоб виманити Ваші персональні дані та кошти.
Ймовірно, мало людей будуть заперечувати проти збору певних даних для відстеження інфікованих людей, якщо це допоможе зупинити поширення вірусу. Однак, крім очевидної користі від використання технологій, існують і ризики для цифрової конфіденційності громадян.
Усіх цікавить, чи можна опускати в воду смартфон без захисту від води. Насправді ж, навіть якщо телефон захищений від води, все одно не варто лізти з ним у воду.